每周都有數(shù)以千計(jì)的新網(wǎng)站被谷歌列入惡意軟件黑名單。根據(jù)Google 透明度報(bào)告，每周還有 33,000 個(gè)被標(biāo)記為網(wǎng)絡(luò)釣魚。不要掉以輕心；這是一個(gè)非常可怕的統(tǒng)計(jì)數(shù)據(jù)。網(wǎng)站成為安全攻擊的目標(biāo)，因?yàn)閮?nèi)容管理系統(tǒng) (CMS) 為近 27% 的互聯(lián)網(wǎng)提供支持并引起安全威脅的注意。這可能會(huì)導(dǎo)致惡意代碼的插入、數(shù)據(jù)的竊取以及站點(diǎn)的關(guān)閉。這需要一些嚴(yán)肅的預(yù)防和安全措施來保護(hù)網(wǎng)站免受攻擊。

1.備份：

如果您沒有一個(gè)或兩個(gè)最新的網(wǎng)站備份版本，那么擁有一個(gè)網(wǎng)站肯定沒有用。新的研究表明，網(wǎng)站黑客和勒索軟件等繼續(xù)增加。每天大約有90,000 多個(gè)網(wǎng)站遭到黑客攻擊。那么，如果沒有備份解決方案，網(wǎng)站所有者在這種情況下會(huì)怎么做？萬一出現(xiàn)問題，網(wǎng)站備份?會(huì)派上用場。客戶需要定期備份以覆蓋所有內(nèi)容。大多數(shù)主機(jī)網(wǎng)站都提供免費(fèi)備份服務(wù)。客戶也可以獲得一些外包備份服務(wù)，例如Acronis。這種類型的服務(wù)不僅可以備份網(wǎng)站，還可以持續(xù)監(jiān)控和掃描網(wǎng)站是否存在安全漏洞。

2. 保持網(wǎng)站更新

定期更新軟件、安全和腳本，因?yàn)樗梢宰屓肭终呷肭志W(wǎng)站。如果它是托管服務(wù)，則還需要更新網(wǎng)站。只要有可用的網(wǎng)站更新，請立即安裝——不要等待。軟件和瀏覽器更新通常試圖解決安全漏洞。同樣，請確保更新您的 SSL 證書和您網(wǎng)站上的其他重要證書。此步驟不會(huì)直接影響網(wǎng)站的安全性。此步驟將確保網(wǎng)站繼續(xù)出現(xiàn)在搜索引擎中。

3.安全插件

通過使用不同的網(wǎng)站防火墻可以獲得持續(xù)保護(hù)，客戶可以訂閱。WordPress 等網(wǎng)站托管服務(wù)提供安全插件，就像使用安全軟件保護(hù)網(wǎng)站一樣。客戶還可以安裝 WordFence，它具有 WordPress 的安全功能，可以保護(hù)網(wǎng)站而無需任何設(shè)置復(fù)雜性。還有基于云的防火墻，包括網(wǎng)站應(yīng)用程序防火墻 (WAF)。對于這些客戶需要將防火墻下載到他們的計(jì)算機(jī)中使用。

這方面的另一個(gè)方面是保持主題和插件的更新。黑客通常以易受攻擊的代碼為目標(biāo)。一旦看到通知，客戶就需要立即更新插件和主題。如果插件或主題不再使用或被遺忘，則必須刪除或刪除它們。

4.密碼保護(hù)和其他安全選項(xiàng)

在網(wǎng)站上使用“admin”作為用戶名或登錄名容易受到許多黑客和機(jī)器人的攻擊，他們會(huì)嘗試使用 admin 登錄。網(wǎng)站所有者還需要保護(hù) WP-Admin 文件夾和登錄文件，因?yàn)檫@將限制黑客訪問這些區(qū)域。敏感文件的文件夾也很容易被破解。所有者需要將此類文件夾的位置名稱更改為隨機(jī)且無聊的名稱。此步驟還將使查找這些文件變得更加困難。

保護(hù)密碼的步驟

管理員級別站點(diǎn)使用唯一密碼是不夠的。網(wǎng)站所有者需要設(shè)置無法在其他任何地方復(fù)制的復(fù)雜且隨機(jī)的密碼，并且他們還需要將密碼的密鑰存儲(chǔ)在網(wǎng)站目錄之外。密碼可以存儲(chǔ)在不同硬盤驅(qū)動(dòng)器或計(jì)算機(jī)上的脫機(jī)文件中。如果用戶密碼存儲(chǔ)在網(wǎng)站上，請以加密格式存儲(chǔ)。如果網(wǎng)站所有者以純文本格式存儲(chǔ)密碼，那么黑客很容易竊取密碼并找到文件。

還要限制登錄嘗試。由于多次登錄網(wǎng)站使其容易受到暴力和惡意軟件攻擊。黑客可能會(huì)嘗試使用特殊工具進(jìn)行多種組合來破解登錄密碼。有幾個(gè)選項(xiàng)可以限制登錄嘗試，例如 WordFence、LockDown 插件。這些服務(wù)會(huì)阻止多次登錄嘗試。

有效管理文件位置

這方面的另一個(gè)重要方面是防止用戶將文件上傳到網(wǎng)站。當(dāng)人們將文件上傳到網(wǎng)站時(shí)，安全漏洞漏洞就會(huì)自動(dòng)打開。人們可以上傳文件的區(qū)域也需要?jiǎng)h除。也可以限制表單，以便它們只允許上傳一種文件類型。如果一個(gè)網(wǎng)站依賴于網(wǎng)頁形式來提交信件等，那么這個(gè)問題可以通過設(shè)置用于提交的電子郵件地址來解決，該地址可以添加到客戶的聯(lián)系頁面。在這種情況下，用戶將通過電子郵件發(fā)送文件而不是上傳文件。

網(wǎng)站錯(cuò)誤信息

保持錯(cuò)誤消息簡單也可以限制黑客攻擊，因?yàn)樗梢蕴峁┨嘈畔⒑蛺阂廛浖诳涂梢酝ㄟ^訪問網(wǎng)站的根目錄來利用它。避免在網(wǎng)站的錯(cuò)誤消息中添加明確的細(xì)節(jié)，并提供簡潔的道歉。還將用戶鏈接回主網(wǎng)站。示例包括 404 錯(cuò)誤和 500 類型的服務(wù)器代碼等。

5. SSL 或 HTTPS 加密

SSL 證書有助于激活加密瀏覽器與服務(wù)器通信的HTTPS 協(xié)議——在線安全的第一步。這確保了網(wǎng)站只能在網(wǎng)站和用戶的瀏覽器之間來回傳輸加密信息。網(wǎng)站所有者只需支付年費(fèi)即可維持 SSL 認(rèn)證。SSL 認(rèn)證的付費(fèi)選項(xiàng)對于驗(yàn)證網(wǎng)站和所有者詳細(xì)信息等是必要的，每年、每三年一次，有時(shí)甚至更長。

存在免費(fèi)證書，但僅適用于 DV SSL，這些證書只完成了一半的工作，并且必須每 90 天更新一次。在選擇 SSL 證書時(shí)，網(wǎng)站所有者可以選擇三個(gè)不同的選項(xiàng)。它們是：DV SSL（域驗(yàn)證）、EV SSL（擴(kuò)展驗(yàn)證）和 OV SSL（組織驗(yàn)證）。谷歌需要擴(kuò)展驗(yàn)證，以便在網(wǎng)站 URL 旁邊發(fā)出綠色的“安全”欄。此外，EV 和 OV 證書可為網(wǎng)站提供更高級別的信任和更強(qiáng)的加密。

安裝 SSL 證書后，網(wǎng)站文件和數(shù)據(jù)將通過此安全的 HTTPS 協(xié)議進(jìn)行加密傳輸。通過將 SSL 證書安裝到網(wǎng)站的“證書”部分，網(wǎng)站所有者可以激活 HTTPS 加密。

這是一個(gè)包裝！

我們希望您發(fā)現(xiàn)有關(guān)保護(hù)網(wǎng)站安全的信息很有用。無論是網(wǎng)站備份、密碼保護(hù)還是 SSL 證書保護(hù)，使用正確的工具來保護(hù)您的在線狀態(tài)將有助于抵御對您網(wǎng)站的惡意威脅。讓我們再次確保互聯(lián)網(wǎng)安全！